https://www.bravotouring.com/~yano/archives/2015/05/23/ Recent content in 2015/05/23 on Yano's digital garage Hugo en-us Sat, 23 May 2015 22:46:20 +0900 https://www.bravotouring.com/~yano/diary/it/20150523secretquestion.htm Sat, 23 May 2015 22:46:20 +0900 https://www.bravotouring.com/~yano/diary/it/20150523secretquestion.htm <p>アカウント復旧など緊急時の個人認証手段である<a href="https://support.apple.com/ja-jp/HT201363">Apple IDのセキュリティ質問</a>などとして広く使われている、いわゆる「秘密の質問」。</p> <table align="right" class="Landscape"> <tr> <td><img alt="実は危険な“秘密の質問”、Googleが研究結果を発表" src="https://www.bravotouring.com/~yano/images/2015/20150523secretquestion.jpg"/></td> </tr> <tr> <td class="PhotoMemo"><a href="http://internet.watch.impress.co.jp/docs/news/20150522_703219.html">Internet Watch記事</a>より</td> </tr> </table> <p><a href="https://www.bravotouring.com/~yano/diary/it/20140905appleid.htm">予て</a>より<span class="Warning">「状況によっては秘密とはとても言い切れないのでは？」</span>と危惧していたのだが、<a href="http://news.mynavi.jp/news/2015/05/22/043/">マイナビニュースの記事</a>によるとGoogleから<blockquote cite="http://news.mynavi.jp/news/2015/05/22/043/">容易に覚えられる答えは安全性が低く、本人以外が答えられないような質問にすると本人も答えられなくなる可能性が高まる。</blockquote>という内容の<a href="http://googleonlinesecurity.blogspot.com/2015/05/new-research-some-tough-questions-for.html">分析結果が発表</a>された模様。</p> <p><a href="http://www.itmedia.co.jp/news/articles/1505/22/news050.html">ITmediaの記事</a>によると<blockquote cite="http://www.itmedia.co.jp/news/articles/1505/22/news050.html">理由の1つは、答えが簡単に分かってしまうこと。例えば、米国人の「好きな食べ物」の質問に対する答えは、1回の推測だけで19.7％の確率で言い当てられることが分かった（ちなみにその答えは「ピザ」だった）。</blockquote>との事だ。日本人だと"ラーメン"、"カレー"、"すし"あたりが「ありがち」だろうか。そうでなくても、知人であれば高確率で推測可能だったりするのは<a href="https://www.bravotouring.com/~yano/diary/it/20140905appleid.htm">指摘している</a>通りだ。</p> <p><blockquote cite="http://www.itmedia.co.jp/news/articles/1505/22/news050.html">しかし、セキュリティを強化するために質問を難しくして、例えば「母が小学校に入学した場所」「図書館カードの番号」などの質問を使った場合、ユーザーが答えを覚えていられる確率は減る。質問を2つにした場合も、ユーザーが2つとも答えを覚えていられる確率は59％にとどまったという。</blockquote>という事だが、上の場合でも"ラーメン"ではなく、"とんこつラーメン"とか"元祖長浜屋"とか少し捻った設定する事もできるが、いざという時にうっかり"ラーメン"と答えると<span class="Warning">認証されない</span>事になる。また、"すし"に対して"スシ"や"おすし"などの"ゆらぎ"が同一視されない場合も弾かれる事になるので「確実に答えられる」という観点で適当とは言い難く、「秘密の質問」なんていうのはさっさと葬り去って、第2メールアドレスやSMSなどの予備インタフェースを使った認証に切り替えるべきだ。</p> <p>【6/2追記】<a href="http://internet.watch.impress.co.jp/docs/column/security/20150602_704889.html">INTERNET Watchの続報</a>によると「秘密の質問にあえて嘘の答えを設定するケース」に関する報告もあるらしい。<blockquote cite="http://internet.watch.impress.co.jp/docs/column/security/20150602_704889.html">メディアの報道で紹介されているのは論文の一部だけであり、実際にはかなり細かくいろいろな調査を行った結果がまとめられています。トータルで150ページにも及ぶ論文なのですべてに目を通すことはできないかもしれませんが、個々のグラフや表を見るだけでも「なるほど」「面白い」と思える論文です。興味のある方はぜひ。</blockquote>との事。<a href="http://research.google.com/pubs/pub43783.html">Lessons from the Use of Personal Knowledge Questions at Google</a>から読めるのは141～150の10ページ分しかないですが！？</p> <p>【7/10追記】<a href="http://googledevjp.blogspot.com/2015/07/blog-post_8.html">Google Developer Japan Blogに日本語訳</a>掲載。</p> <p class="Reference">【参照】 <br/>●Internet Watch <a href="http://internet.watch.impress.co.jp/">http://internet.watch.impress.co.jp/</a> <br/>┣<a href="http://internet.watch.impress.co.jp/docs/news/20150522_703219.html">実は危険な“秘密の質問”、Googleが研究結果を発表</a> 2015年5月22日 <br/>┗<a href="http://internet.watch.impress.co.jp/docs/column/security/20150602_704889.html">【海の向こうの“セキュリティ”】 「秘密の質問」に嘘の答えを設定する理由／Akamai、DDoS攻撃等に関する2015年第1四半期レポート</a> 2015年6月2日 <br/>●ITmedia ニュース <a href="http://www.itmedia.co.jp/news/">http://www.itmedia.co.jp/news/</a> <br/>┗<a href="http://www.itmedia.co.jp/news/articles/1505/22/news050.html">「秘密の質問」が突破される確率は？　Googleが調査</a> 2015年5月22日 <br/>●マイナビニュース <a href="http://news.mynavi.jp/">http://news.mynavi.jp/</a> <br/>┣<a href="http://news.mynavi.jp/articles/2015/04/17/googleauth/">Googleの2段階認証アプリ「Google Autehnticator」をWindowsで使う方法</a> 2015年4月17日 <br/>┗<a href="http://news.mynavi.jp/news/2015/05/22/043/">本人も答えられない - 効果が低い「セキュリティの質問」- Googleレポート</a> 2015年5月22日 <br/>●ZDNet Japan <a href="http://japan.zdnet.com/">http://japan.zdnet.com/</a> <br/>┗<a href="http://japan.zdnet.com/article/20393556/">パスワード再設定の際の「秘密の質問」は推測可能 -- 調査で明らかに</a> <br/>●Google Developer Japan Blog <a href="http://googledevjp.blogspot.com/">http://googledevjp.blogspot.com/</a> <br/>┗<a href="http://googledevjp.blogspot.com/2015/07/blog-post_8.html">新リサーチ: 「秘密の質問」を問い直す</a> 2015年7月8日 <br/>●Google Online Security Blog <a href="http://googleonlinesecurity.blogspot.com/">http://googleonlinesecurity.blogspot.com/</a> <br/>┗<a href="http://googleonlinesecurity.blogspot.com/2015/05/new-research-some-tough-questions-for.html">Some Tough Questions for ‘Security Questions’</a> 2015年5月21日 <br/>●Research at Google <a href="http://research.google.com/">http://research.google.com/</a> <br/>┗<a href="http://research.google.com/pubs/pub43783.html">Secrets, Lies, and Account Recovery: Lessons from the Use of Personal Knowledge Questions at Google</a> 2015年5月21日 <br/>●Wikipedia <a href="http://en.wikipedia.org/wiki/">http://en.wikipedia.org/wiki/</a> <br/>┗<a href="http://en.wikipedia.org/wiki/Security_question">Security question</a> </p>